CVE-2014-8439-Exploit: Was dagegen hilft

Originalartikel von Weimin Wu, Threat Analyst

Am 25. November veröffentlichte Adobe außer der Reihe einen Patch für die CVE-2014-8439-Schwachstelle. Sie betrifft die Adobe Flash Player-Versionen unter Windows, Mac OS sowie Linux und wird als „de-referenzierter Hauptspeicherzeiger, der eine Code-Ausführung ermöglicht,“ beschrieben. Doch trotz der schnellen Reaktion von Adobe scheinen die Autoren eines Exploit Kits einen Schritt voraus zu sein. Für Endverbraucher stellt dies eine große Gefahr dar, denn sie aktualisieren meistens ihre Software nur unregelmäßig, und gerade der Flash Player wird nur alle sieben bis 60 Tage upgedatet. Cyberkriminelle erhalten somit genügend Zeit, um die Sicherheitslücken, die sie in der Software finden, zu missbrauchen und ihre Zielopfer zu erreichen.

Adobe Flash scheint für die Kriminellen zum lohnendsten Ziel geworden zu sein, nachdem Java jedes Mal eine Sicherheitswarnung auf dem Bildschirm ausgibt, wenn ein Java Applet vom Browser ausgeführt wird. Zwar greifen die Kriminellen auch den Internet Explorer an, doch der Browser umfasst mittlerweile Isolated-Heap und Delay-Free zum Schutz gegen UAF (User After Free)-Exploits, sodass Adobe Flash gegenwärtig die beliebteste Anwendung darstellt.

Missbrauch über verschiedene Exploit Kits: Analyse von CVE-2014-8439

Anderen Sicherheitsforschern zufolge wurde diese Sicherheitslücke schon früher von weit verbreiteten Exploit Kits ausgenützt, einschließlich Angler, Nuclear und Astrum. Die Untersuchung eines im Nuclear Exploit Kit genutzten Musters zeigte, dass die Schadsoftware eine andere Missbrauchsmethode für CVE-2014-0515 (eine im April 2014 entdeckte Sicherheitslücke im Adobe Flash Player) verwendet. Die Autoren des Exploit Kits kennen die Struktur und die Logik der Anwendung sehr gut. Es wäre also logisch, eine Methode für die aktuelle Sicherheitslücke zu verwenden, die als „stabil“ gilt. Dennoch nutzten die Angreifer eine alte und nicht stabile Technik für CVE-2014-8439. Einzelheiten zu den beiden Methoden finden Interessierte hier.

Trend Micro-Lösungen für CVE-2014-8439

Die Produkte umfassen ein Skript-Analysemodul, das eine dynamische Emulation einsetzt, um die Verschleierung des Skripts aufzulösen und dessen Verhalten zu analysieren. Die Verhaltensregel “SWF.Dynamic.HeapSpray.A” aus dem Juni dieses Jahres kann diesen neuen Exploit für neue Sicherheitslücken erkennen. Dieselbe Regel erkennt auch einen weiteren, kürzlich aufgetauchten Exploit für CVE-2014-0569 und CVE-2014-8440. Die Regel zielt auf die folgende, häufig genutzte Methode zum Lesen/Schreiben in den Hauptspeicher.


Bild 1. Erkennungspunkt in Trend Micros Skript-Analysemodul

Dynamische Emulation von Skripts als effizientes Tool gegen gezielte Angriffe

Cyberkriminelle setzen in gezielten Angriffen häufig skript-basierte Exploits ein. Skripts können einfach verschleiert werden, und deshalb sind Lösungen, die auf statischen Signaturen beruhen, beim Erkennen von neuen Varianten nicht effizient. Heuristische Analysen helfen, weil sie als schnelelr Filter vor dem Sandboxing agieren. Schließlich trifft das Sandboxing die endgültige Entscheidung und kontrolliert die False/Positive-Rate auf der Basis von Verhaltensanalysen.

Alle Sandboxen nutzen verhaltensbasierte Analysen der Payload für ein Betriebssystem, doch sollte eine gute Sandbox auch die Verhaltensanalyse von Exploits für eine angreifbare Anwendung beinhalten. Der Grund dafür ist, dass es schwierig ist, einen Exploit stabil anzustoßen, vor allem in einer eingeschränkten spezifischen VM-Umgebung in einer Sandbox. Sandbox-Erkennung schlägt fehl aufgrund von erfolglosen Exploits oder dem erfolglosen Herunterladen von Payloads.

In einer solchen Situation kann die Untersuchung des Exploit-Verhaltens hilfreich sein. Über eine dynamische Emulation lässt sich die Ausführung eines Skripts in einer zu kontrollierenden Umgebung simulieren. Zu den Verhaltensweisen können Heap Spray-Techniken, ROP oder Funktionsaufrufe mit bestimmten Parametern für spezifische CVEs und jede andere ungewöhnliche Nutzung gehören.

Natürlich hat die dynamische Skript-Emulation ihre Grenzen, und Angreifer werden auch alles tun, um diese Techniken zu umgehen.

Empfehlungen

Nutzer der Flash Player-Versionen höher 15.0.189/13.0.250/11.2.202.411 sind vor diesen Exploits sicher. Es ist auf jeden Fall ratsam, so schnell wie möglich auf die aktuelle Adobe Flash Player-Version upzudaten, um eine Infektion durch andere Exploit-Varianten zu vermeiden.

Die Anwender von OfficeScan sind über die dargestellten Skript-Analysemodule geschützt. Die Erkennung kann automatisch auf URLs und Binary-Signaturen ausgeweitet werden, die über das Trend Micro™ Smart Protection Network™ von den Anwendern gemeinsam genutzt werden. Trend Micro ™ Deep Discovery™ schützt Unternehmen vor unbekannten Exploits und möglichen gezielten Angriffen.

Die zur Analyse gehörenden Hashes sind:

  • 80B632B139F11CAC5E832092BF173C2B11D80E3E, SWF_EXPLOYT.LDCE
  • 34567961ad0326e63a8968e2b7f108d940ff6b80, TROJ_WALEDAC.WJG

Zusätzliche Inhalte von Michael Du, Peter Pi and Moony Li.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*